允许应用程序备份¶
ID: java/android/backup-enabled
Kind: problem
Security severity: 7.5
Severity: recommendation
Precision: very-high
Tags:
- security
- external/cwe/cwe-312
Query suites:
- java-security-extended.qls
- java-security-and-quality.qls
在 Android 清单文件中,您可以使用 application 元素的 android:allowBackup 属性来定义应用程序是否具有自动备份。
如果您的应用程序使用任何敏感数据,您应禁用自动备份以防止攻击者提取数据。
建议¶
对于处理敏感数据的 Android 应用程序,在清单文件中将 android:allowBackup 设置为 false。
注意:自 Android 6.0(棉花糖)起,应用程序的自动备份默认开启。
示例¶
在以下两个(不良)示例中,android:allowBackup 设置已启用
<manifest ... >
<!-- BAD: 'android:allowBackup' set to 'true' -->
<application
android:allowBackup="true">
<activity ... >
</activity>
</application>
</manifest>
<manifest ... >
<!-- BAD: no 'android:allowBackup' set, defaults to 'true' -->
<application>
<activity ... >
</activity>
</application>
</manifest>
在以下(良好)示例中,android:allowBackup 已设置为 false
<manifest ... >
<!-- GOOD: 'android:allowBackup' set to 'false' -->
<application
android:allowBackup="false">
<activity ... >
</activity>
</application>
</manifest>
参考¶
Android 文档:使用自动备份备份用户数据
OWASP 移动安全测试指南:Android 备份
常见弱点枚举:CWE-312。